论文部分内容阅读
较大型的局域网常常把网络分成一个个小的子网,这既是为了方便管理,也是为了安全方面的考虑。在每一个小局域网入口处布置一个专用的防火墙或者入侵防御系统不是每一个单位能够承受得了的。一个通用的,廉价的,能够对较小范围局域网的机器做出保护的系统成为较好的选择。
Linux操作系统是一个灵活的特别适合应用的操作系统,根据机器所在的位置和它需要担当的角色,在它上面布置防火墙,入侵检测和入侵防御系统都显得游刃有余。工作在链路层上的网桥功能比较单一,提供桥接和转发功能,但是它可以作为上层应用的一个载体,在上面部署更复杂的功能。本论文利用iptables和snort inline布置一个运行于Linux透明网桥模式的防火墙与入侵防御互相配合的解决方案,可以显著增强局域网安全性。本系统的特点是使用一个通用的有两块网卡的机器,把数据包在必经之处捕捉,过滤,转发,整个系统对用户透明,不用改变网络结构,没有自己的IP地址,不容易被发现。在保证自身相对较高的稳定性和安全性的同时,把不良数据隔离在局域网之外。在此基础上,利用一个针对snort_inline的守护程序,保证snort_inline一直运行不被杀死,同时把守护程序隐藏掉,有效地保证了其自身的安全。
snort_inine是开源领域较为成熟的入侵防御系统,其功能和性能都比较优秀,stream4是其负责状态维护和会话重组的最重要的一个预处理器,但是它对窗口扩展选项支持得不是太好。本文详细讲述了其缺陷并提出了一个解决办法,实验证明可以有效地处理带有窗口扩展的TCP连接。同于实验条件有限,本论文对防火墙和入侵防御的规则以及整个系统的安全性的测试在VMware下的操作系统完成,可以能达到预期的目的,节省了经费,也提高了效率。
本文设计的系统,其防御功能依靠编写合理而高效的规则,除了工作流程和工作原理外,文中还详细介绍了iptables和snort_inline规则编写的方法,技巧和注意事项,根据文中的例子,编写类似的规则是很容易的。